标签: Windows

OilRig 伊朗威胁组织伪装合法的思科工具 安装 Poison Frog 后门

臭名昭著的OilRig伊朗威胁组织通过使用各种PowerShell脚本将恶意软件伪装成合法的Cisco AnyConnect应用程序,以安装Poison Frog后门程序。 Poison Frog是OilRig集团武器库中最强大的后门之一,它包含一个面板,面板上有服务器端部件和PowerShell中曾用于各种备受关注网络攻击的Payload。 卡巴斯基研究人员还发现了一个新样本,它是一个用C语言编写的PE可执行文件,只有删除包含后门Powershell脚本的功能。在同样的逻辑下,还发现了另一个PowerShell脚本,它有两个不同的长字符串,包含DNS和HTTP后门也就是Poison Frog后门。 为了安装恶意软件,OilRig威胁组织成员还巧妙使用了计俩,将恶意软件伪装成合法的Cisco AnyConnect应用程序。 卡巴斯基研究人员发表报告称“信息弹出窗口会在每次点击时出现,起到欺瞒用户的作用,使用户误认为是应用程序或互联网的接入有问题,而实际上却是在悄悄的将后门安装在系统上。”   消息来源:gbhackers, 译者:dengdeng,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文  

微软再次向 Windows 10 用户提供了错误的更新

十月份我们曾报道过,微软向所有Windows 10用户发布了一个Autopilot设备更新补丁,随后在公司意识到自己的错误后撤消了更新。而今天,微软再次重复了同样的错误,他们于12月10日在星期二的补丁更新中向所有用户推出了另一个Windows 10 Autopilot更新“KB4532441”。 访问微软中国官方商城 – Windows 用户在论坛上报告说,此更新已发布到 Windows 10的消费者版本。当用户检查更新时,会立即显示此更新,并且即使成功安装后也会反复提供。 微软已经确认该错误,并且发布撤消了该更新的消息: 此更新可通过Windows Update获得。但是,我们删除了它,因为它的提供方式不正确。当组织为Windows Autopilot部署注册或配置设备时,设备安装程序会自动将Windows Autopilot更新到最新版本。而对正常Windows 10设备提供的Windows Autopilot更新实际上是无效的。如果系统为您提供了此更新并且当前设备并没有部署Autopilot的前提下,则安装此更新不会有影响,换句话说,Windows Autopilot更新不应提供给Windows 10 的消费者版本。 尽管微软表示此更新不会对用户PC产生负面影响,但是您依然可以选择卸载该补丁。 (稿源:cnBeta,封面源自网络。)

卡巴斯基透露有黑客同时利用 Windows 10 和 Chrome 零日漏洞发动攻击

微软和谷歌都已经在昨天发布软件更新用于修复部分安全漏洞,这其中就包括某个在野外已遭到利用的零日漏洞。这些零日漏洞由卡巴斯基发现但是高级黑客团体早已利用,黑客借助这些漏洞可以直接在计算机上安装间谍软件。而经过溯源后卡巴斯基指出无法将攻击者归于任何特定攻击者,但攻击者使用的部分代码与拉撒路集团有相似性。 拉撒路集团是知名勒索软件WannaCry的始作俑者,而该集团也被安全公司认为是由北韩资助的国家级黑客团队。 利用漏洞攻击韩语新闻网站加载恶意软件: 卡巴斯基调查后发现最初攻击者利用某韩语新闻网站的漏洞嵌入恶意脚本,当用户浏览该网站时就会加载该脚本。 而这个恶意脚本里有代码是专门针对Google Chrome 的,黑客利用的漏洞是谷歌官方此前并未发现的零日漏洞。 恶意脚本被加载后会再调用Win32K 安全漏洞下载并安装恶意软件,该恶意软件会自动连接远程服务器获取指令。 也就是说主要用户浏览这个韩语网站就会被感染恶意软件,在这期间不需要用户执行任何交互动作即可完成攻击。 #攻击者将恶意脚本伪装成流行的jQuery库 卡巴斯基称这次攻击事件为Operation WizardOpium<script type="text/javascript" scr="hxxp://code.jquery.cdn.behindcorona.com/jquery-validates.js"></script> 潜在攻击者可能是拉撒路集团: 卡巴斯基在经过溯源和分析后表示没有确切证据能够将此次攻击事件与任何已知的高级持续性威胁团体关联起来。 但攻击者使用的相关代码与拉撒路集团有非常弱的相似性,这表明潜在的攻击团体可能是名声在外的拉撒路集团。 拉撒路集团曾发动过多次知名的网络攻击,包括WannaCry勒索软件、孟加拉国家银行失窃案、远东银行失窃案。 而该集团也被证实是北韩资助的国家级黑客组织,这次攻击的载体是韩语新闻网站也就是说主要目标是韩国用户。 因此按常理推测的话此次攻击是拉撒路集团发动的可能性非常大,不过卡巴斯基称暂时没有足够多的确切的证据。 卡巴斯基认为相关攻击代码与拉撒路集团有非常弱的相似性也可能是其他攻击者试图将调查视线转到拉撒路身上。 微软已经在例行更新中修复漏洞: 事实上这次安全漏洞不仅影响Windows 10, 据微软官方说明所有受支持的Windows版本包括服务器版均受影响。 出现安全漏洞的依然是最近非常热门的Win32K 组件,该组件从去年年底到现在已经被发现多个高危的零日漏洞。 微软表示攻击者借助此漏洞可以在内核模式下运行任意代码,包括安装软件、删改数据或新增同权限的用户账户。 受影响的版本包括Windows 7 SP1~Windows 10所有版本、Windows Server 2008 R2 到Server 2019版等等。 当然Windows 7 SP1之前的版本例如XP以及Windows 10已经停止支持的版本比如1803之前的版本也会受影响。 不过这些已经停止支持的版本并没有安全更新用于修复漏洞,所以建议用户们还是尽早升级受支持的版本比较好。 谷歌也已经修复零日漏洞: 这次攻击者同时利用Windows操作系统和Google Chrome漏洞比较罕见,不过现在这个漏洞利用方式已被封堵。 谷歌浏览器开发团队在接到卡巴斯基报告后已经及时修复漏洞,用户只要开启自动更新就可以自动升级到最新版。 目前谷歌浏览器在国内已经部署服务器可以提供更新,用户也可以点击这里访问中国官网下载谷歌浏览器安装包。   (稿源:cnBeta,封面源自网络。)

收到这样的邮件请立即删除:勒索软件伪装成 Windows 更新诱骗用户点击

如果您收到一封声称来自微软的电子邮件,并要求安装所谓的关键更新,那么请立即删除这封邮件。安全公司Trustwave近日发现了新的恶意程序活动踪迹,它们利用电子邮件方式进行传播,伪装成为Windows更新让设备感染Cyborg勒索软件。 这是一种非常典型的攻击方式,首先给潜在目标发送电子邮件,邮件中会包含虚假的Windows更新。该更新似乎使用的是JPG文件扩展名,实际上是一个可执行文件,一旦启动,便从GitHub下载其他有效负载。 rustwave解释称:“根据我们的调查,受感染的设备会从一个名为misterbtc2020的GitHub账号中下载名为bitcoingenerator.exe的文件,该账号在几天前还处于活跃状态,目前已经被删除。该文件包含了btcgenerator存储库。就像附件一样,这是.NET编译的恶意软件,也就是Cyborg勒索软件。” 勒索软件感染设备后,用户文件将被加密并重命名为使用“777”扩展名。此时,用户文件被锁定,勒索软件将文本文档放置在桌面上,以向受害者提供有关如何获取解密密钥的指令。 在勒索消息中写道:“不用担心,你可以赎回所有文件!您可以发送一个加密文件[sic],我们将免费对其进行解密。您必须按照以下步骤来解密文件:将500美元的比特币发送到钱包[钱包号码],然后向我们的邮箱发送通知。” Trustwave警告说:“任何拥有该Builder的人都可以创建和分发Cyborg勒索软件。攻击者可以使用其他不同的主题来诱骗用户点击,并以不同的形式来逃避电子邮件网关的审查。攻击者可以使用已知的勒索软件扩展名,来误导受感染的用户识别出这种勒索软件。” 不用说,最简单的安全保护方法是避免打开电子邮件并下载附件。更新安全软件还可以帮助检测受感染的文件,并阻止勒索软件感染您的设备。   (稿源:cnBeta,封面源自网络。)

网络安全公司 OPSWAT 统计出最受欢迎的 Windows 防病毒产品

网络安全公司OPSWAT进行的一项新研究表明,如今,赛门铁克公司,ESET和迈克菲开发的防病毒产品已成为大多数Windows用户的首选。OPSWAT数据显示,赛门铁克以13.56%的市场份额位居Windows反恶意软件市场之首,其中Symantec Endpoint Protection份额占10.75%。 ESET以12.84%位居第二,其中,ESET Endpoint Antivirus和ESET Endpoint Security市场份额分别是4.53%和3.7%。排在第三位的McAfee占有12.21%的份额,这要归功于McAfee Endpoint Security,该产品目前在安装了McAfee软件的设备上占比9.61%。Bitdefender,卡巴斯基和Avast份额位居第四到第六位,分别为10.77%,7.66%和6.98%。 OPSWAT给出的市场份图表中未包含Windows Defender,因为OPSWAT认为其产品不能准确代表用户的选择,因为它们已预先安装在许多Windows系统上并且无法删除。另一方面,虽然Windows Defender不在OPSWAT这次研究之列,但最近的防病毒测试表明,微软安全产品至少与第三方替代产品一样有效。 Windows Defender已成为功能齐全的防病毒产品,它具有高级功能,例如实时扫描,云分析和勒索软件防护,已预装在Windows 10上,因此默认情况下可以保护所有设备。在最新的Windows 10版本中,Windows Defender已演变为Windows安全中心,可提更高级控制和访问功能,其中包括父母工具和其他功能,这些功能可以保护Windows 10设备免受大多数威胁侵害。   (稿源:cnBeta,封面源自网络。)

Windows 10 Mobile 还有 2 月退休 但微软拒绝修复新发现的漏洞

微软承认Windows 10 Mobile上存在一个安全漏洞,该漏洞能允许默认人绕过你的锁屏屏幕来访问你的相册。不过好消息是,该漏洞只有在锁屏界面启用Cortana才会存在,不过坏消息就是微软表示不会修复该安全漏洞。 目前已经有工程师成功利用该漏洞访问用户手机相册,并在不需要进行系统身份认证的情况下修改和删除照片。该工程师表示:“这个漏洞可以绕过Windows 10 Mobile系统中的安全功能,在锁屏状态下通过Cortana访问文件和文件夹。”而想要利用该漏洞,攻击者需要物理接触到手机并且需要在锁屏界面上启用Cortana。 所有Windows 10 Mobile均存在该安全漏洞,不过微软表示目前并没有证据表明有黑客利用该漏洞来窃取数据。如果你目前依然在使用Cortana,那么唯一的解决方案就是禁用锁屏界面的Cortana。 Microsoft提供了以下步骤来保护您的手机: 1.从应用程序屏幕打开Cortana应用程序。 2.点击Cortana应用程序左上方的“菜单”按钮(3个水平条)。 3.点击设置选项。 4.将“锁定屏幕”选项的滑块设置为“关”,以防止在锁定设备时访问Cortana。 Windows 10 Mobile v1709还将于11月和12月获得2个最后的补丁,因此尚不清楚微软为何在支持周期内不修复该漏洞。虽然微软提供的临时解决方案已经足够保护Windows 10 Mobile用户,但是这项决定依然让很多人感到意外。   (稿源:cnBeta,封面源自网络。)

Windows 7 平台 Office 365 ProPlus 安全更新将持续至 2023 年

微软已经敲定将于2020年1月14日之前停止对Windows 7系统的支持,不过之后Office 365 ProPlus订阅用户依然能够在该系统上继续运行3年时间。换句话说,Office 365 ProPlus的安全更新周期将会持续到2023年1月,在这段时间内微软希望给客户提供更充足的时间迁移到Windows 10平台上。 虽然Windows 7用户在2023年1月之前能够继续使用Office 365 ProPlus,但是不会获得任何新的功能,而且微软还会敦促订阅用户尽快迁移到更高的Windows系统中,例如Windows 8.1或者Windows 10。 微软解释道:“即使Windows 7系统在2020年1月之后不再获得支持,我们还是决定在后续3年内继续为Office 365 ProPlus用户提供安全更新,直至2023年1月。我们这样做是为了给您更多的时间,以便于您能从Windows 7系统升级迁移到支持的Windows系统上,例如Windows 10。不过,在这段时间内,依然运行Windows 7的设备上,Office 365 ProPlus不会接受任何新的功能更新。”   (稿源:cnBeta,封面源自网络。)

谷歌发现的 iPhone 攻击者同样也在攻击 Android 和 Windows 系统

据外媒报道,谷歌本周披露的针对苹果iPhone的空前攻击比人们最初想象的要广泛。据匿名知情人士透露,谷歌和微软操作系统受到的网络公司也是来源于对iPhone发起网络攻击的同一家网站。 Android和Windows系统成为攻击目标表明了这个为期两年的黑客攻击行动不仅针对苹果手机还感染了比最初怀疑的更多的设备。现在,Android和Windows仍旧是世界上使用最广泛的操作系统,无论是哪种黑客攻击,它们都极具吸引力。 目前还不清楚谷歌是否知道或披露了这些网站也在针对其他操作系统。一位熟悉攻击的消息人士则指出,谷歌只看到这些网站利用了iOS系统。对此,苹果尚未发表任何声明也没有对最新进展发表评论。 而据一位跟谷歌关系密切的消息人士透露,谷歌告诉了苹果哪些网站在2月份受到了攻击。谷歌的研究人员则是在8月29日披露了这些攻击。 目前还不清楚究竟Android和Windows究竟哪些漏洞被那些被用来攻击苹果操作系统的漏洞所利用。如果是在iOS遭攻击的情况下,攻击者会利用这些漏洞在手机上植入恶意软件并可能监视大量数据,其中包括加密的WhatsApp、iMessage和Telegram以及实时位置。   (稿源:cnBeta,封面源自网络。)

荷兰称 Windows 10 远程收集用户数据 或违反隐私法

北京时间8月27日晚间消息,据路透社报道,荷兰数据保护局(DPA)今日表示,微软远程收集Windows 10家庭版和专业版用户的数据,这可能违反了荷兰的隐私保护法。 事实上,DPA早在2017年10月就曾表示,Windows 10违反了该国的数据保护法。在使用默认设置时,微软不断收集有关应用程序的使用记录。 DPA今日表示,虽然微软按照要求在去年对相关设置进行了而调整。但在测试这些调整后的隐私保护措施时,又发现了新的问题。 DPA称:“测试发现,微软还远程收集用户的其他信息。因此,微软还是潜在地违反了隐私保护法。” DPA还表示,已将这一发现转交给爱尔兰数据保护机构,因为微软在爱尔兰设有欧洲总部。 微软对此表示,公司始终致力于保护用户隐私。最近几年,微软已针对个人和小企业用户对Windows 10的隐私功能进行了改进。 微软说:“有机会进一步改进我们为用户提供的工具和选择,我们也很高兴。” 早在2017年1月,瑞士数据保护机构“瑞士联邦数据保护与信息委员会”曾表示,经调查发现,Windows 10因自动上传用户隐私信息而违反了瑞士的数据保护法。   (稿源:,稿件以及封面源自网络。)

微软:公司将停止监听 Xbox 玩家语音信息

北京时间8月23日早间消息,微软宣布将停止监听Xbox用户,并表示此举已经“不再必要”。 微软发言人在一份声明中表示:“几个月前,我们已经停止为改进产品而对通过Xbox获取的语音信息进行评估,因为我们认为这不再必要,我们也不准备重新启动这些评估。” 微软还补充说:“当有报道称录音违反了我们的服务条款,并认为我们应该展开调查时,我们偶尔会审查从一个Xbox用户发送到另一个Xbox用户的少量录音。这样做是为了保持Xbox社区安全,我们的Xbox服务条款中也有明确说明。” 之前有报道称,该公司从2014年就开始录制和监听游戏玩家的私人谈话,其中许多人都是儿童。微软称这样做是为了改善Xbox的语音控制功能。 今年四月有报道称,亚马逊、谷歌和苹果都雇佣员工专门监听从智能音箱和语音助手应用程序收集的用户录音。但许多用户都不知情。之前还有报道称,微软工作人员还监听了一些Skype电话以及其虚拟助手Cortana录制的音频。   (稿源:,稿件以及封面源自网络。)